Documentación de Oracle Cloud Infrastructure

Uso de métricas y logs de NFS para la resolución de problemas de LDAP y Kerberos

Utilice un conector de salida o los logs de servicio y las métricas de NFS del destino de montaje para diagnosticar problemas con los sistemas de archivos que utilizan LDAP para la autorización y Kerberos para la autenticación.

Los conectores de salida y los destinos de montaje de File Storage que utilizan LDAP o utilizan LDAP y Kerberos emiten métricas para ayudarle a supervisar la conectividad, el rendimiento y los errores. Los siguientes gráficos están diseñados para capturar errores específicos:

Para obtener más información sobre las métricas y los gráficos de File Storage, consulte Métricas del sistema de archivos.

Recomendamos que active los logs de NFS para los destinos de montaje que utilizan LDAP o Kerberos y que configure alarmas para los errores. Consulte Detalles de File Storage para obtener más información.

Errores de conexión LDAP

El gráfico Errores de Conexión de LDAP captura los siguientes tipos de error:

  • Timeout de Conexión de LDAP
  • Conexión LDAP rechazada/restablecida
  • Fallo de resolución de nombre de LDAP
  • Fallo de inicio de sesión de enlace LDAP
  • Fallo de validación de certificado LDAP

Para los errores "LDAP Connection Timeout" y "LDAP Connection Rechused/Reset":

  1. Verifique que las reglas de seguridad de VCN permitan la comunicación con los servidores LDAP y DNS. Consulte Escenario D: el destino de montaje utiliza LDAP para la autorización
  2. Verifique que el servicio LDAP se esté ejecutando en el servidor LDAP gestionado por el cliente.
    Consejo

    Puede probar la capacidad de búsqueda de LDAP mediante el comando ldapsearch desde una instancia de Linux en la misma subred que el destino de montaje. Consulte Testing for LDAP Schema Support para obtener más información.
  3. Verifique que el destino de montaje esté utilizando un conector de salida con el servidor LDAP y el puerto LDAPS correctos. Consulte Gestión de conectores salientes para obtener más información.

Para los errores "LDAP Name Resolution Failed":

  1. Verifique que las reglas de seguridad de VCN permitan la comunicación con los servidores LDAP y DNS. Consulte Escenario D: el destino de montaje utiliza LDAP para la autorización para obtener más información.
  2. Asegúrese de que los archivos de zona DNS del servidor DNS contengan registros A y PTR para el servidor LDAP.
  3. Si el servidor DNS configurado está gestionado por el cliente y utiliza Opciones de DHCP, verifique que las opciones de DHCP sean correctas y que el destino de montaje esté en la subred que tiene configuradas las opciones de DHCP.
  4. Verifique que se pueda acceder al servicio de nombres y que se ejecute en el servidor DNS. Puede utilizar una consulta DNS y una consulta inversa desde una instancia de la misma subred que el destino de montaje.

En el caso de errores de conexión de enlace LDAP fallida:

Verifique que el conector de salida esté utilizando el nombre distintivo de enlace correcto y la contraseña correcta. Consulte Gestión de conectores salientes para obtener más información.

Para los errores "LDAP Certificate Validation Failure" (Fallo de validación de certificado LDAP):

Verifique que el servidor LDAP tenga un certificado válido.

Errores de solicitud LDAP

El gráfico Errores de solicitud de LDAP captura los siguientes tipos de error:

  • Buscar nombre de usuario por UID
  • Consultar UID por nombre de usuario
  • Buscar grupos de usuarios

Los errores de solicitud de LDAP pueden generar problemas de permisos o errores al montar sistemas de archivos.

Puede utilizar el comando ldapsearch desde una instancia de Linux con conectividad al servidor LDAP para verificar que:

  1. Hay una entrada de usuario en Search Base for Users con uid, uidNumber y gidNumber.
  2. Hay una entrada de grupo del usuario en la base de búsqueda para grupos con el atributo memberUid.

Para obtener más información, consulte Testing for LDAP Schema Support.

Errores de Kerberos

El gráfico Errores de Kerberos captura los siguientes tipos de error:

  • Kerberos sin tabla de claves
  • Kerberos sin clave
  • El número de versión de clave de Kerberos no coincide
  • Discrepancia de reloj de Kerberos

Para errores de "Kerberos no keytab":

Verifique que ha cargado un separador de claves de Kerberos en OCI Vault y que ha seleccionado el secreto al activar la autenticación de Kerberos.

Para errores de "Kerberos no key":

No hay claves en la tabla de claves. Para obtener más información, consulte Kerberos Keytab.

Para errores de "discrepancia de número de versión de clave de Kerberos":

  1. Los números de versión de clave se utilizan para distinguir entre claves diferentes en el mismo dominio. Este error se produce cuando el sistema no puede encontrar un kvno en la tabla de claves que corresponde al ticket. El ticket puede estar desactualizado o caducado. Para obtener más información, consulte Kerberos Keytab.
  2. Verifique que el secreto de tabla de claves seleccionado sea correcto. Si no es así, extraiga del KDC la tabla de claves correcta para el principal de destino de montaje y, a continuación, vuelva a cargar la tabla de claves como secreto y seleccione la nueva versión del secreto.

Para errores de sesgo de reloj de Kerberos:

Verifique que la fecha y la hora sean correctas en el cliente y en el KDC. Para evitar que los intrusos restablezcan los relojes del sistema y utilicen tickets caducados, Kerberos rechaza las solicitudes de tickets de cualquier host cuyo reloj no esté sincronizado.